盤點2019年十大數據泄露事件

雷英

關注安全漏洞的模式和趨勢，有助于讓消費者和企業意識到保護個人身份信息的重要性。數據泄露可能涉及到方方面面，包括社保號碼、信用卡號、受保護的健康信息和用戶名等。竊取數據的方式也是五花八門，包括內部竊取、外部黑客入侵和員工疏忽等。

根據身份盜竊資源中心和美國衛生與公眾服務部收集的信息顯示，2019年十大數據泄露事件中共有超過1.37億條記錄被泄露。

十大數據泄露事件中，有6個涉及到醫療機構，2個涉及到攻擊政府機構，1個入侵了銀行，1個攻擊教育機構。下面來看完整名單：

1.美國俄勒岡州公共服務部

黑客針對美國俄勒岡州公共服務部發起了一次電子郵件網絡釣魚攻擊，導致該機構的客戶社保號碼和個人健康信息被泄露。

2019年1月8日俄勒岡州公共服務部的9名員工打開了他們收到的網絡釣魚電子郵件，然后單擊網絡鏈接，從而導致發件人可以入侵他們的電子郵件帳戶。該機構找到受影響的帳戶，于2019年1月28日停止對這些帳戶的訪問，并在廣泛調查之后，在2019年6月最終確定了受影響用戶的數量。

該機構稱，泄露的客戶信息包括姓名、地址、出生日期、社保號碼、病例編號、個人健康信息以及該機構各項目正在使用的其他信息。大多數被泄露的客戶信息被放在了電子郵件附件中，公共服務部為受影響的個人提供身份竊取保護和監視服務。

2.華盛頓大學醫學系統（UW Medicine）

UW Medicine網站服務器上的一個“內部人為錯誤”，導致從2018年12月4日開始可以在互聯網上搜索到并讀取某些內部受保護的文件，其中包括患者姓名、病歷編號、病情描述、共享患者信息的目的和共享方信息。

這些文件描述了患者病歷中哪些部分被共享，而涉及實際的健康信息。在某些情況下，UW Medicine文件中包含了執行實驗室測試的名稱（但不包括結果），以及涉及到某種健康狀況的研究主題。

UW Medicine于2018年12月26日在發現漏洞之后立即進行了修復，然后與谷歌合作刪除了文件已保存的版本，阻止這些文件繼續出現在搜索結果中。截止2019年1月10日，所有已保存的文件已從Google服務器中完全刪除，這些數據泄漏事件在2019年2月20日對外公開。

3.佐治亞理工學院

佐治亞理工學院的Web應用遭遇了未經授權的入侵，導致現有和前教職員工、學生以及學生申請的個人信息泄露。該學校進行了徹底的調查以確定從數據庫中到底泄露了哪些信息，其中可能包括姓名、地址、社保號碼和出生日期。

佐治亞理工學院在2019年3月下旬發現的一系列跡象表明，黑客發現了通過學校Web服務器將查詢請求發送到內部數據庫的方法。結果該學校表示，黑客可能已經在2018年12月14日～2019年3月22日之間訪問了數據庫。

佐治亞理工學院在4月2日公開了這次泄露事件，并為那些社保號碼可能遭到泄露的個人提供信用監控和身份盜竊保護服務。佐治亞理工學院表示，可以通過檢查自己的信用報告以及信用卡、銀行和其他財務報表中是否出現了未經授權的操作，來主動監控是否存在欺詐和身份盜用的可能性。

4. Inmediata Health Group

InmediataHealthGroup于2019年1月發現，由于網頁設置允許搜索引擎索引用于業務運營的內部網頁，導致可以在線查看某些電子健康信息。這次數據泄漏可能涉及的信息包括患者姓名、地址、出生日期、性別、社保號碼和醫療索賠信息。

這家位于波多黎各圣胡安的健康信息系統提供商表示，在意識到數據泄漏后已經立即停用了網站，并聘請了獨立數字取證公司來協助調查。Inmediata表示，還沒有證據表明有任何公開文件被復制、保存和被濫用。

Inmediata于2019年4月22日公開了此次事件，并于同一天開始向可能受影響的個人郵寄通知信。10天后，密歇根州總檢察長辦公室稱，已經有2個人聯系了該機構，他們收到了Inmediata關于這次泄露事件的多封信件，并且其中有些信件被誤寄給其他人了。

5. Clinical Pathology Laboratories

Clinical Pathology Laboratories在2019年5月收到通知，稱美國醫學館（AMCA）數據庫在一次數據安全事件中受到影響，該數據庫中包含了某些CPL患者的信息。AMCA是臨床病理實驗室和其他醫療保健公司使用的一家外部收集機構。

但是在收到AMCA最初通知的時候，Clinical Pathology Laboratories表示，他們缺少足夠的信息找出可能受影響的患者，或者確認可能與該事件有關的患者信息的性質。因此，Clinical Pathology Laboratories直到7月才向患者公開這次泄露事件。

最終Clinical Pathology Laboratories表示，這些數據泄露事件可能涉及的信息包括姓名、地址、電話號碼、出生日期、服務日期、余額信息和治療信息。Clinical Pathology Laboratories表示，這次受到影響的患者大概有220萬，其中約有34 500患者的信用卡或者銀行信息可能也被泄露了。

6.美國聯邦緊急事務管理局（FEMA）

美國勞工部監察長辦公室（OIG）在2019年3月表示，FEMA違反了1974年隱私法和國土安全部政策，透露了哈維、艾爾瑪和瑪麗亞颶風以及2017年加州野火幸存者的敏感個人身份信息，以及驗證這些幸存者是否符合過渡住房援助計劃所需條件的范圍。

除了在避難登機手續過程中用來確認資格信息之外，FEMA還向承包方透露了某些不必要的個人信息，以及20多種不是必須提供的信息，包括申請人的地址（街道地址、城市名稱、郵政編碼）、金融機構名稱、電子資金轉帳號碼和銀行轉帳號碼。

此前該援助計劃要求提供申請人銀行名稱和帳號等信息，但是現在不需要了。OIG表示，FEMA并沒有只提供所需的數據，加大了災難幸存者遭遇身份盜用和信息欺詐的風險。

7. Dominion National

Dominion National證實，早在2010年8月25日開始可能就有未經授權的黑客入侵了某些計算機服務器，這次事件可能泄露的信息包括姓名、地址、電子郵件地址、出生日期、社保號碼、會員ID號、群組號、訂閱用戶數、銀行帳戶、路由號以及納稅人識別號。

這家總部位于弗吉尼亞州阿靈頓的牙科和視力保險公司是在2019年4月24日的一次內部調查過程中發現了這一數據泄露情況，并在2019年6月21日對外公開。DominionNational表示已經快速清理了受影響的服務器，并部署了增強的監控和警報軟件。

Dominion National表示，沒有證據表明任何信息被訪問、獲取或濫用。該公司提供了一項為期2年的ID Experts MyIDCare會員服務，為那些可能受到影響的個人提供信用監控和欺詐防護服務。

8. LabCorp

有數百萬的LabCorp客戶把自己的數據保存在美國醫療收集局（AMCA）的網上支付頁面，該機構在2018年8月1日～ 2019年3月30日期間遭到黑客入侵。AMCA是LabCorp和其他醫療保健公司所使用的一家外部收集機構。

泄露的信息可能包括姓名、出生日期、地址、電話、服務日期、提供者、余額信息、消費者提供給AMCA的信用卡或銀行帳戶信息。該機構為信用卡或者銀行帳戶信息可能被讀取的20萬消費者提供為期24個月的身份保護和信用監控服務。

作為對此次事件的回應，LabCorp不再向AMCA提出新的收集請求，并阻止AMCA繼續處理涉及LabCorp消費者的未決收款請求。LabCorp沒有向AMCA提供過訂購測試、實驗室結果和診斷信息等，AMCA方面表示，并未保存或者維護LabCorp客戶的社保號碼或者保險身份信息。

9. Quest Diagnostics

Quest Diagnostics在2019年6月表示，帳單收集供應商的在線支付頁面可能存在數據泄露問題，導致患者的財務和醫療信息被泄露。

根據美國證券交易委員會（SEC）的文件顯示，這家位于紐約的臨床實驗室提供商表示，未經授權的黑客在2018年8月1日～2019年3月30日期間訪問了美國醫療收集局（AMCA）系統，該系統中包含AMC從Quest Diagnostics和其他機構收到的信息，這些信息是由AMCA提供給Quest的。

根據Quest提交的信息顯示，AMCA受影響系統中保存的信息包括醫療信息、財務信息（例如信用卡號和銀行帳戶信息）、以及其他個人信息（例如社保號碼）。Quest稱，實驗室測試信息并未提供給AMCA，因此未受此次事件的影響。

10. Capital One

Capital One在2019年7月透露，黑客已經竊取了美國和加拿大約1.06億信用卡申請人和客戶的個人信息。

這家總部位于弗吉尼亞州麥克萊恩的金融服務業巨頭表示，此次事件涉及100萬個加拿大客戶社保號碼、14萬美國客戶的社保號碼以及80 000個關聯銀行帳戶號碼，黑客竊取了在2005 ～2019年初期間申請CapitalOne信用卡的客戶的姓名、地址、郵編、電話號碼、電子郵件地址、出生日期和收入等信息。

最終，前亞馬遜網絡服務人員Paige Thompson被指控竊取了Capital One信用卡申請人和客戶的個人信息，以及其他30多家公司的數據。據稱，他利用防火墻配置漏洞入侵了Capital One在AWS存儲空間中保存的文件夾或數據桶。